362 lines
13 KiB
TeX
362 lines
13 KiB
TeX
\documentclass{f4_beamer}
|
|
|
|
% Basic setup
|
|
\usepackage[german]{babel} % Sprachpaket für Deutsch (Umlaute, Trennung,deutsche Überschriften)
|
|
\usepackage{graphicx,hyperref} % Graphikeinbindung, Hyperref (alles klickbar, Bookmarks)
|
|
\usepackage{amssymb} % Math. Symbole aus AmsTeX
|
|
\usepackage[utf8]{inputenc} % Umlaute
|
|
% Custom packages
|
|
\usepackage[autostyle=true,german=quotes]{csquotes} % Anführungszeichen mit \enquote{}
|
|
\usepackage{textcomp} % Zusätzliches Package für °C
|
|
\usepackage{listings} % Codesnippets
|
|
\usepackage{scrhack} % Hack for lstlisting i suspect :-/
|
|
\usepackage{xcolor}
|
|
\usepackage{float}
|
|
\usepackage{soul}
|
|
\usepackage{verbatim} % für comment-environment
|
|
\usepackage{amsmath}
|
|
|
|
% Setup für Codeblocks
|
|
\lstset{
|
|
% Optionen
|
|
breaklines=true,
|
|
breakatwhitespace=true,
|
|
breakautoindent=true,
|
|
frame=single,
|
|
%framexleftmargin=19pt,
|
|
inputencoding=utf8,
|
|
%language=awk,
|
|
%numbers=left,
|
|
%numbersep=8pt,
|
|
showspaces=false,
|
|
showstringspaces=false,
|
|
tabsize=1,
|
|
%xleftmargin=19pt,
|
|
captionpos=b,
|
|
% Styling
|
|
basicstyle=\footnotesize\ttfamily,
|
|
commentstyle=\footnotesize,
|
|
keywordstyle=\footnotesize\ttfamily,
|
|
numberstyle=\footnotesize,
|
|
stringstyle=\footnotesize\ttfamily,
|
|
}
|
|
% Hack für Sonderzeichen in Codeblocks
|
|
\lstset{literate=%
|
|
{Ö}{{\"O}}1
|
|
{Ä}{{\"A}}1
|
|
{Ü}{{\"U}}1
|
|
{ß}{{\ss}}1
|
|
{ü}{{\"u}}1
|
|
{ä}{{\"a}}1
|
|
{ö}{{\"o}}1
|
|
{°}{{${^\circ}$}}1
|
|
}
|
|
|
|
% Broken citation needs broken command
|
|
\newcommand\mathplus{+}
|
|
|
|
% Actual beamer related document setup
|
|
\title{Cloud-Angebote und IT-Compliance}
|
|
%\subtitle{Umgehungsversuche und ISO 27001}
|
|
\author{Jan Philipp Timme}
|
|
\date{\today}
|
|
|
|
% Content below this line
|
|
\begin{document}
|
|
|
|
|
|
\section{Compliance und IT-Compliance}
|
|
|
|
\subsection{Begriff: Compliance}
|
|
\begin{frame}{Begriff: Compliance}
|
|
\begin{itemize}
|
|
\item Begriff aus betriebswirtschaftlicher Fachsprache
|
|
\item engl.: \enquote{Compliance} $\rightarrow$ dt.: Einhaltung, Befolgung, Regelkonformität
|
|
\item Siehe auch \enquote{to comply} $\rightarrow$ einwilligen, nachgeben, den Auflagen entsprechen
|
|
\item $\rightarrow$ \textbf{Einhaltung von Gesetzen und Vorschriften}
|
|
\item z.B.: BGB, HGB, AO, GmbHG, JArbSchG, BDSG, Normen, EU-Richtlinien, internationale Konventionen, \dots
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
\subsection{Einstieg in Compliance}
|
|
\begin{frame}{Einstieg in Compliance}
|
|
\begin{itemize}
|
|
\item Menge zu berücksichtigender Regeln von Unternehmen abhängig
|
|
\item Ab gewissem Umfang ist juristische Unterstützung notwendig
|
|
\item Mögliche Optionen:
|
|
\begin{itemize}
|
|
\item Juristische Beratung einkaufen
|
|
\item Mitarbeiter für juristische Fragen einstellen
|
|
\item Eine eigene Rechtsabteilung aufbauen
|
|
\end{itemize}
|
|
\item $\rightarrow$ Erste Kosten entstehen
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
\subsection{Compliance sicherstellen}
|
|
\begin{frame}{Compliance sicherstellen}
|
|
\begin{itemize}
|
|
\item Compliance Management System (CMS)
|
|
\item Beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität
|
|
\item $\rightarrow$ Integriert sich tief in das Unternehmen
|
|
\item Ziele:
|
|
\begin{itemize}
|
|
\item \textbf{Risiken} für Regelverstöße rechtzeitig \textbf{erkennen, analysieren und verhindern}
|
|
\item Angemessene Reaktionen, falls Regelverstoß dennoch eingetreten ist
|
|
\end{itemize}
|
|
\item Zusätzlicher Aufwand $\rightarrow$ mehr Mitarbeiter $\rightarrow$ mehr Kosten
|
|
\item Aber: Vermeidet langfristig Kosten! (wie eine Versicherung)
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
\subsection{Begriff: IT-Compliance}
|
|
\begin{frame}{Begriff: IT-Compliance}
|
|
\begin{itemize}
|
|
\item Compliance im IT-Bereich
|
|
\item $\rightarrow$ Betrifft IT-Systeme des Unternehmens
|
|
\item Kern-Anforderungen der IT-Compliance sollen gewährleistet werden:
|
|
\begin{itemize}
|
|
\item Informationssicherheit
|
|
\item Verfügbarkeit
|
|
\item Datenaufbewahrung
|
|
\item Datenschutz
|
|
\end{itemize}
|
|
\item Laut einer Studie von CSC fließen ca. $2/3$ des IT-Budgets einer Bank in IT-Compliance und Instandhaltung von Systemen.
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
\subsection{IT-Compliance: Nichts als teurer Unfug?}
|
|
\begin{frame}{IT-Compliance: Nichts als teurer Unfug?}
|
|
\begin{itemize}
|
|
\item Einhaltung von Gesetzen oder Vorschriften wird nicht belohnt
|
|
\item Aber: Strafen bei Verstoß gegen Gesetz oder Vorschrift!
|
|
\begin{itemize}
|
|
\item Bußgelder, Gewinnabschöpfung, Verfall von Gewinn
|
|
\item \textbf{Haftstrafen} für Vorstand einer AG, Geschäftsführer einer GmbH, \dots
|
|
\end{itemize}
|
|
\item Und: Zusätzliche Kosten durch Folgeschäden:
|
|
\begin{itemize}
|
|
\item Verfahrenskosten
|
|
\item Schadenersatzansprüche
|
|
\item Rückabwicklungen
|
|
\item Imageverlust / Vertrauensverlust, \dots
|
|
\end{itemize}
|
|
\item $\rightarrow$ (IT-)Compliance ist grundlegendes Unternehmensziel
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
\subsection{Vorteile von IT-Compliance}
|
|
\begin{frame}{Vorteile von IT-Compliance}
|
|
\begin{itemize}
|
|
\item Unternehmensintern:
|
|
\begin{itemize}
|
|
\item Frühzeitige Betrachtung von relevanten Gesetzen, Risiken, \dots
|
|
\item \enquote{Volles Risikobewusstsein} anstatt \enquote{Blindflug}
|
|
\item $\rightarrow$ (Daten-)Sicherheit durch strukturiertes Vorgehen
|
|
\end{itemize}
|
|
\item Extern:
|
|
\begin{itemize}
|
|
\item Schafft Vertrauen, demonstriert Stabilität und Robustheit
|
|
\item Ermöglicht Aussprechen von Garantien bezüglich (Daten-)Sicherheit
|
|
\item Erfüllt Anforderungen von Kunden und Vertragspartnern
|
|
\end{itemize}
|
|
\item \enquote{\dots aber wie kann ich jemandem meine (IT-)Compliance nachweisen?}
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
|
|
\section{Cloud-Angebote}
|
|
|
|
\subsection{Begriff: Cloud-Angebote}
|
|
\begin{frame}{Begriff: Cloud-Angebote}
|
|
\begin{itemize}
|
|
\item Virtuelle Maschinen, Speicher, Anwendungen und Plattformen \enquote{on demand}
|
|
\item Dynamisch anpassbare Dienstleistungen, dynamische Tarife
|
|
\item Infrastruktur auf Rechenzentren in mehreren Ländern weltweit
|
|
\item $\rightarrow$ Global vernetzte Infrastruktur
|
|
\item $\rightarrow$ Daten werden oft weltweit verteilt gespeichert
|
|
\item Je nach Standort andere Rechtslage
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
\subsection{Cloud-Angebote aus Sicht der Kunden}
|
|
\begin{frame}{Cloud-Angebote aus Sicht der Kunden}
|
|
\begin{itemize}
|
|
\item Eigene IT kostet zu viel, es soll gespart werden
|
|
\item $\rightarrow$ Outsourcen mit speziellen Anforderungen an Datensicherheit
|
|
\item Beispiel: Deutsche Versicherung möchte Kundendaten in die Cloud verschieben
|
|
\begin{itemize}
|
|
\item Bundesdatenschutzgesetz muss eingehalten werden
|
|
\item Kundendaten sind vertraulich $\rightarrow$ müssen vertraulich bleiben!
|
|
\item Die Daten sollen jederzeit verfügbar sein
|
|
\item Die Daten sollen Deutschland nicht verlassen
|
|
\end{itemize}
|
|
\item Kunde sucht international günstigen Anbieter, der diese Anforderungen belegbar erfüllen kann
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
\subsection{Cloud-Angebote aus Sicht der Anbieter}
|
|
\begin{frame}{Cloud-Angebote aus Sicht der Anbieter}
|
|
\begin{itemize}
|
|
\item Pro Standort unterschiedliche Gesetze und Vorschriften zu erfüllen
|
|
\item Je mehr Standorte in unterschiedlichen Ländern, desto mehr Gesetze finden Anwendung
|
|
\item $\rightarrow$ (IT-)Compliance sichert eigene Existenz
|
|
\item Kunden haben je nach Land unterschiedliche Rechte
|
|
\item $\rightarrow$ Angebote müssen entsprechend konform gehen
|
|
\item Kunden haben Anforderungen an die Datensicherheit
|
|
\item $\rightarrow$ Anbieter muss Einhaltung dieser Bedingungen belegen können
|
|
\item Und: Der Anbieter will dazu \textbf{weltweit} in der Lage sein
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
|
|
\section{ISO 27001}
|
|
|
|
\subsection{Steckbrief: ISO 27001}
|
|
\begin{frame}{Steckbrief: ISO 27001}
|
|
\begin{itemize}
|
|
\item \textbf{Internationaler Standard} aus dem Jahr 2005 (überholt in 2013)
|
|
\item Gehört zur Familie der ISO 2700X
|
|
\item Anforderungen an ein Information Security Management System (ISMS)
|
|
\begin{itemize}
|
|
\item Ähnlicher Ansatz zu Compliance Management System
|
|
\item Fokus auf Datensicherheit
|
|
\item $\rightarrow$ Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten
|
|
\item Anwendung von Risikomanagementprozessen
|
|
\end{itemize}
|
|
\item Struktur und Aufbau abhängig von Unternehmensstruktur und Bedarf
|
|
\item Bonus: Man kann sich nach ISO 27001 zertifizieren lassen!
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
\subsection{Inhalte und Ziele der ISO 27001}
|
|
\begin{frame}{Inhalte der Ziele ISO 27001}
|
|
\begin{itemize}
|
|
\item Enthält Anforderungen an ein ISMS + passende Kontrollen
|
|
\item Top-Down Ansatz (\enquote{Top management shall ensure that \dots})
|
|
\item Anwendungsgebiete: (Auszug)
|
|
\begin{itemize}
|
|
\item Managen von \textbf{Sicherheitsrisiken}
|
|
\item Sicherstellung der Einhaltung von Gesetzen und Vorschriften
|
|
\item Definition von Managementprozessen zum Managen von Informationssicherheit
|
|
\item Nutzung durch Auditoren als \enquote{Checkliste}
|
|
\end{itemize}
|
|
\item Erzeugung und kontinuierliche Pflege einer Datensicherheitsrichtlinie
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
\subsection{Auswirkungen der ISO 27001}
|
|
\begin{frame}{Auswirkungen der ISO 27001}
|
|
\begin{itemize}
|
|
\item Entwurf neuer Prozesse, Informationssysteme oder Kontrollen berücksichtigt Datensicherheit von Beginn an
|
|
\item Verursachte Kosten:
|
|
\begin{itemize}
|
|
\item Interne Kosten verursacht durch ISMS und zugehöriger Dokumentation
|
|
\item Externe Kosten durch Beauftragung von Beratungsunternehmen
|
|
\item Audit Kosten durch Zertifizierungsunternehmen
|
|
\end{itemize}
|
|
\item Konformität nach ISO 27001 zeigen?
|
|
\begin{itemize}
|
|
\item Selbst Konformität verkünden
|
|
\item Kunden/Vertragspartner bitten, die Konformität zu bestätigen
|
|
\item Verifikation der Konformität durch externen Auditor ($\rightarrow$ Zertifizierung)
|
|
\end{itemize}
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
\subsection{Nutzen der ISO 27001}
|
|
\begin{frame}{Nutzen der ISO 27001}
|
|
\begin{itemize}
|
|
\item Langfristige Kostensenkung durch strukturierte Prozesse
|
|
\item Risikominimierung
|
|
\begin{itemize}
|
|
\item $\rightarrow$ Geringere Haftungs- und Geschäftsrisiken
|
|
\item $\rightarrow$ Geringere Versicherungsbeiträge
|
|
\item $\rightarrow$ Verbesserte Kreditwürdigkeit bei Banken/Investoren
|
|
\end{itemize}
|
|
\item Höhere Wettbewerbsfähigkeit durch belegbare Datensicherheit
|
|
\item $\rightarrow$ Imageverbesserung
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
\subsection{Relevanz der ISO 27001 für Cloud-Angebote}
|
|
\begin{frame}{Relevanz der ISO 27001 für Cloud-Angebote}
|
|
\begin{itemize}
|
|
\item Internationaler Standard, weltweit anerkannt
|
|
\item $\rightarrow$ Cloud-Anbieter können Konformität belegen
|
|
\item Starker Fokus auf Datensicherheit und Datenvertraulichkeit
|
|
\item $\rightarrow$ Mehr Vertrauen bei den Kunden, Anforderungen werden erfüllt
|
|
\item Zertifizierung und regelmäßige Audits stellen Konformität sicher
|
|
\item $\rightarrow$ Erhöhte Transparenz; Kunden können Daten ohne Sorgen bei Anbieter ablegen
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
|
|
\section{Umsetzung von Compliance}
|
|
|
|
\subsection{Einführung von Compliance}
|
|
\begin{frame}{Einführung von Compliance}
|
|
\begin{itemize}
|
|
\item Management führt Compliance mit CMS (Compliance Management System) ein
|
|
\item Prozesse werden komplexer, mehr Kontrollmechanismen, \dots
|
|
\item Mitarbeiter akzeptieren Compliance und tragen ihren Teil dazu bei
|
|
\item $\rightarrow$ Soweit alles gut \dots
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
\subsection{Fall 1\: Umgehung von Compliance}
|
|
\begin{frame}{Fall 1\: Umgehung von Compliance}
|
|
\begin{itemize}
|
|
\item IT-Compliance bzw. Compliance allgemein sind für Unternehmen überlebenswichtig
|
|
\item Warum also sollte man versuchen wollen, Compliance zu umgehen?
|
|
\item $\rightarrow$ Management fordert höhere Produktivität
|
|
\item \textbf{Interessenkonflikt}: Compliance gegen Produktivität
|
|
\item $\rightarrow$ Compliance wird zu Gunsten von Produktivität umgangen
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
\subsection{Fall 2: Lähmung durch Compliance}
|
|
\begin{frame}{Fall 2: Lähmung durch Compliance}
|
|
\begin{itemize}
|
|
\item Ausgangssituation: Compliance ist im Unternehmen etabliert
|
|
\item Mitarbeiter verstößt ungewollt gegen Compliance-Vorgaben
|
|
\begin{itemize}
|
|
\item Reaktion: Management führt Genehmigungsprozesse ein
|
|
\item Konsequenz: Produktivität geht runter, Mitarbeiter werden verunsichert und schlimmstenfalls durch Angst \enquote{gelähmt}
|
|
\end{itemize}
|
|
\item Sinnvoller Umgang mit Verstößen gegen Compliance notwendig
|
|
\item $\rightarrow$ Mitarbeiter \enquote{abholen} anstatt Kontrolle!
|
|
\item $\rightarrow$ Kommunikation vom Management ist wichtig!
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
|
|
\section{Fazit}
|
|
|
|
\subsection{Abschließendes Fazit}
|
|
\begin{frame}{Abschließendes Fazit}
|
|
\begin{itemize}
|
|
\item Kunden wollen stabile und reife Unternehmen als Vertragspartner
|
|
\item (IT-)Compliance minimiert Risiken, bringt Robustheit und Stabilität
|
|
\item ISO 27001 schafft Transparenz und Vertrauen durch belegbare Datensicherheit
|
|
\item $\rightarrow$ Unternehmen steht besser dar (Image, Kredite, Wettbewerb)
|
|
\item Compliance ist überlebenswichtige Versicherung für Unternehmen
|
|
\item Compliance muss vom Management richtig kommuniziert werden
|
|
\end{itemize}
|
|
\end{frame}
|
|
|
|
% Probably not used, not sure yet.
|
|
\begin{comment}
|
|
\begin{frame}{Literaturverzeichnis}
|
|
% Literaturverzeichnis
|
|
% Schlüssel als Buchstaben
|
|
\bibliographystyle{alpha}
|
|
\bibliography{Literaturverweise}
|
|
% Und JETZT zum Inhaltsverzeichnis hinzufügen. Geil!
|
|
\addcontentsline{toc}{chapter}{Literaturverweise}
|
|
\end{frame}
|
|
\end{comment}
|
|
|
|
\end{document}
|
|
% No more content below this line
|